Y a-t-il des inconvénients techniques à utiliser des certificats SSL gratuits?

J'utilise startssl pour un certificat gratuit depuis environ un an et demi maintenant avec seulement de très petits problèmes [...][Supprimé la plupart des messages de 2012 car ils ne sont plus pertinents maintenant]

EDIT 2016 : Il n'y a aucun problème technique à utiliser un certificat à partir d'un certificat SSL gratuit, tant que cette autorité de certification est approuvée par vos utilisateurs. Veuillez noter que votre exemple StartSSL n'est plus approuvé par la plupart des navigateurs.

Les utilisateurs de certificats gratuits doivent être conscients que les certificats gratuits sont nécessairement émis de manière automatique qui émet un certificat pour un domaine une fois que vous pouvez fournir une assurance que vous contrôlez ce domaine. Ils ne permettent pas de valider que vous êtes réellement une organisation (validation de l'organisation), ni d'effectuer des vérifications et des audits étendus par rapport aux documents officiels (validation étendue). C'est-à-dire que si quelqu'un parvient à contrôler un domaine avec un nom similaire, il pourrait obtenir des certificats SSL valides pour ce domaine portant le même nom. (Par exemple, quelqu'un parvient à s'inscrire america.com et vous incite à aller à https://bank.of.america.com à des fins bancaires, puis effectue une attaque d'homme au milieu avec https://www.bankofamerica.com pour accéder à votre compte.) Certes, de nombreux certificats payants ne fournissent qu'une validation automatique de domaine. L'idée derrière les certificats EV est que vous pouvez voir dans la barre d'emplacement le nom de l'organisation validée CA qui existe et possède ce domaine.

En règle générale, cela signifie que vous souhaitez une autorité de certification à laquelle la plupart des principaux navigateurs et systèmes d'exploitation font implicitement confiance par défaut. L'un des premiers fournisseurs de certificats gratuits ( CAcert ) jamais obtenu par défaut la confiance dans la plupart des principaux navigateurs et systèmes d'exploitation et, par conséquent, leurs certificats sont moins utiles, sauf si vous savez que les utilisateurs de votre site ont installé et approuvé le certificat racine CAcert. Le fournisseur de certificats SSL d'entrée de gamme gratuits dans votre exemple (StartSSL), utilisé par la plupart des principaux navigateurs et systèmes d'exploitation. Cependant, la plupart des principaux navigateurs suppriment la confiance pour StartSSL (sans rapport avec leur émission de certificats gratuits - voir ci-dessous). Cependant, il existe maintenant un autre fournisseur de certificats gratuit auquel la plupart des principaux navigateurs et systèmes d'exploitation font confiance, appelé Let's Encrypt .

La raison pour laquelle StartSSL n'est plus digne de confiance est que StartCom (la société derrière StartSSL) a vendu son autorité de certification à une entreprise chinoise (WoSign) sans divulguer publiquement la vente. Ils ont également émis un certificat pour un domaine github sans autorisation et ont commencé à dater les certificats de signature pour éviter les restrictions du navigateur. Les principaux fournisseurs de navigateurs (dont Mozilla, Google, Apple) ont commencé à ne plus faire confiance aux certificats émis par eux dans leurs produits (y compris Firefox, Chrome, Safari).

Pour plus d'informations:

https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

https://support.Apple.com/en-us/HT204132

https://security.googleblog.com/2016/10/distrusting-wosign-and-startcom.html

Le principal inconvénient technique ne serait que si une autorité de certification gratuite n'est pas largement acceptée par les fabricants de navigateurs ou de systèmes d'exploitation, les certificats qu'ils génèrent peuvent également ne pas être fiables. De plus, s'il y a des problèmes avec l'autorité de certification qui provoquent l'invalidation de leur certificat racine, vous pouvez alors rencontrer des problèmes. Cela dit, vous pouvez potentiellement rencontrer les mêmes problèmes avec n'importe quelle autorité de certification et ce n'est pas nécessairement un problème technique directement.

Il n'y a aucun inconvénient technique à utiliser des certificats SSL gratuits. La technologie et le protocole SSL garantissent que la négociation entre le client et le serveur génère des clés de session robustes et sécurisées pour contrecarrer l'usurpation de données et les attaques de l'homme au milieu. Vous devez vous assurer que votre fournisseur SSL gratuit fournit un état de certificat en temps réel en utilisant OCSP ou CRL sans échec.

Si vous êtes en mesure de dire aux utilisateurs finaux de faire confiance à votre certificat SSL par tout moyen ou moyen, tout devrait bien se passer.

Il y a maintenant un gros inconvénient à utiliser StartSSL: les principaux navigateurs ne font plus confiance à leurs certificats. La société et sa société mère ne traitaient pas les certificats et les procédures à la satisfaction de Mozilla.

Firefox a annoncé son intention de se méfier des certificats StartSSL en octobre 2016: https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Google et Chrome Se méfier des certificats WoSign et StartCom . Chrome supprime progressivement ces certificats avec les versions ultérieures du navigateur .

• Chrome 56 se méfie de tous les certificats émis après le 21 octobre 2016.
• Chrome 57 se méfie également de tous les anciens certificats, sauf si le site se trouve dans le million de sites Alexa.
• Chrome 58 se méfie également de tous les anciens certificats, sauf si le site figure dans le top 500 000 d'Alexa.

Safari bloque la confiance pour les certificats SSL gratuits de WoSign CA: https://support.Apple.com/en-us/HT202858

Source: Mon nouveau certificat StartSSL n'a pas fonctionné: https://webmasters.stackexchange.com/questions/103405/startssl-certificate-gives-sec-error-revoked-certificate-in-firefox-and-err -cert